VDA Labs, ein Startup, das Fehler in Anwendungen aufspürt, hat durch ungewöhnliche Geschäftspraktiken auf sich aufmerksam gemacht. In den USA gilt sein Name inzwischen als Synonym für ein neues, zweifelhaftes Geschäftsmodell.
Vulnerability Discovery and Analysis (VDA) Labs wurde im April von Jared DeMott gegründet. Das Unternehmen sucht nach Bugs in Webanwendungen und benachrichtigt daraufhin den jeweiligen Betreiber. Allerdings belässt VDA es nicht nur dabei, sondern verlangt für die Entdeckung der Bugs eine Gebühr beziehungsweise einen Beratungsauftrag. Andernfalls würde der Bug an Dritte weiterverkauft werden oder der Fehler öffentlich aufgedeckt werden. „Unser Business-Modell hat schon ein paar Ecken und Kanten“, gibt DeMott zu – andere nennen es schlicht Erpressung.
Vor zwei Wochen bekam es die Social-Network-Plattform Linkedin mit VDA zu tun. Die Firma spürte eine Sicherheitslücke in der Linkedin-Internet-Explorer-Toolbar auf und bot dem Unternehmen genauere Informationen sowie weitere Beraterdienste zum Pauschalpreis von 5000 Dollar an. Gleichzeitig wurde Linkedin ein Ultimatum gesetzt.
Nachdem Linkedin auf die Forderungen nicht reagierte, verschickte VDA am Abend vor dem Ablauf des Ultimatums weitere E-Mails. Darin wurde an die Deadline erinnert und die Forderung auf 10.000 Dollar erhöht. Als auch diese Drohung unbeantwortet blieb, bot DeMott zwei Tage später nur noch die Beratungsdienste an. Linkedin hat sich zu diesem Vorfall nicht geäußert und den betreffenden Bug mittlerweile selbst bereinigt.
DeMott verteidigt derweil seine Praktiken. Sie seien nur dazu gedacht, den betroffenen Unternehmen zu helfen und eindringlich auf bestehende Sicherheitslücken hinzuweisen. „Wir haben unsere Maßnahmen niemals als Erpressung angesehen. Wir wollten Firmen lediglich auf Fehler hinweisen und unsere Hilfe anbieten.“ Als Begründung nennt er die Verfahrensweise einiger Softwarefirmen, niemals mit Sicherheitsfirmen zusammenzuarbeiten, sondern lediglich auf durch Kunden aufgedeckte Fehler zu reagieren. „Wir haben mit unserem Geschäftsmodell durchaus Erfolg. In den vergangen vier Monaten hat die Hälfte der angesprochenen Firmen für die Beseitigung der Bugs gezahlt.“
„Das ist eindeutig Erpressung. Niemand sollte mit der Veröffentlichung eines Bugs drohen und Geld fordern“, sagt Johannes Ullrich, Forschungsleiter beim Sans Institute. „VDA ist nicht die einzige Firma mit derartigen Geschäftspraktiken. Da große Firmen wie Microsoft aber im Einklang mit ihren Unternehmenswerten niemals für aufgedeckte Fehler bezahlen würden, sehen sie die Vorgehensweise als schlichte Erpressung an“, ergänzt Terri Forslof, Sicherheitsmanager bei Tipping Point, einer Tochterfirma von 3Com.
Der Sicherheitscheck entzieht unsicheren Websites automatisch alle Berechtigungen. Zudem können Nutzer in Chrome künftig Websites…
Ontinue registriert einen Anstieg beim Anteil am Gesamtangriffsvolumen um 105 Prozent. Das Angriffsvolumen auf den…
Das o1 genannte Modell liegt als Preview vor. Bei einer Mathematikprüfung beantwortet es 83 Prozent…
Das Kennzeichen erhalten Zoom Workplace Pro und Zoom Workplace Basic. Es bescheinigt unter anderem aktuelle…
iOS und iPadOS erhalten Tab-Gruppen. Zudem unterstützt Chrome nun die Synchronisierung von Tab-Gruppen.
Sie befürchten einen Missbrauch der Identitäten von Verstorbenen. 60 Prozent befürworten deswegen eine Klärung des…